Spring 安全上下文路径解析器

Question

我想定义从 spring security 设置的 session cookie 的路径，以允许从 web-app 进行多次登录。例如：

http://localhost:8080/myApp/context1/login
http://localhost:8080/myApp/context2/login
http://localhost:8080/myApp/context3/login
...

这基本上可以通过覆盖LoginUrlAuthenticationEntryPoint、SimpleUrlAuthenticationFailureHandler、SimpleUrlAuthenticationSuccessHandler、SimpleUrlLogoutSuccessHandler来实现。但是我找不到负责设置 cookie 上下文路径的处理程序，我需要从以下位置覆盖：

/myApp

到适当的等价物：

/myApp/context1

这是必需的，以便允许并行登录这些应用程序。

Q：tomcat如何动态改变session cookie（HttpSession）的cookie路径？

Answer 1

您的应用程序容器负责向客户端发送会话 cookie。 在 Spring Security 代码中，您只会看到如下行：

HttpSession session = request.getSession();

Spring Security 源代码中没有 session-cookie-creation 逻辑。这就是为什么没有实现接口或配置属性来提供自定义路径的原因。

要指定将分配给由您的 Web 应用程序创建的任何会话 cookie 的路径，您可以输入：

<web-app>
    <session-config>
        <cookie-config>
            <path></path>
        </cookie-config>
    </session-config>
</web-app>

在您的 web.xml 描述符中。

但是，您希望在一个 Web 应用程序中拥有多个会话。 为什么不为每个用户上下文部署新的应用程序？这是最合乎逻辑的方法。

编辑： 恐怕您想要实现无需修改会话即可轻松完成的事情。您的问题看起来更像是授权而不是身份验证。也许您需要为每个上下文使用角色？还是访问控制列表？

Answer 2

默认bean rememberMeServices 类型为org.springframework.security.web.authentication.rememberme.TokenBasedRememberMeServices 负责设置cookie

Answer 3

扩展 InlineExplodedTomcatServer

package myapp

    import org.grails.plugins.tomcat.InlineExplodedTomcatServer
    import org.grails.plugins.tomcat.TomcatLoader
    import grails.util.GrailsNameUtils
    import org.apache.catalina.connector.Connector
    import org.apache.catalina.startup.Tomcat
    import org.apache.coyote.http11.Http11NioProtocol
    import org.codehaus.groovy.grails.lifecycle.ShutdownOperations
    import org.codehaus.groovy.grails.plugins.PluginManagerHolder
    import org.codehaus.groovy.grails.plugins.GrailsPluginUtils
    import static grails.build.logging.GrailsConsole.instance as CONSOLE
    import org.apache.tomcat.util.scan.StandardJarScanner
    import org.springframework.util.ReflectionUtils


    class MyappInlineExplodedTomcatServer extends InlineExplodedTomcatServer {

        MyappInlineExplodedTomcatServer(String basedir, String webXml, String contextPath, ClassLoader classLoader) {
            super(basedir, webXml, contextPath, classLoader)
            context.setSessionCookieDomain(System.getProperty('mydomain.com'))
            context.setSessionCookiePath('/mypath')     
        }

    }

扩展tomcat服务器工厂

package myapp

import grails.web.container.EmbeddableServer

import org.grails.plugins.tomcat.TomcatServerFactory

class MyappServerFactory extends TomcatServerFactory {

    EmbeddableServer createInline(String basedir, String webXml, String contextPath, ClassLoader classLoader) {             
        new MyappInlineExplodedTomcatServer(basedir, webXml, contextPath, classLoader)      
    }

}

在 events.groovy 中设置服务器工厂

eventRunAppStart = {
        System.setProperty 'grails.server.factory','myapp.MyappServerFactory'
        }
}

显然，此配置仅在使用 grails "run-app" 运行时应用，而不是在您部署在 tomcat 或其他服务器上时应用。在 tomcat 上你必须在 tomcat 配置文件中配置它

Answer 4

好的……这一次我想我找到了你要找的东西。看this answer

我认为你可以在 grails 中创建一个 filter

Answer 5

请参考 Spring Security 中 successfulAuthentication 的默认行为。

更新（来自评论的指针）：关于成功认证的 2 点，spring security "Invokes the configured SessionAuthenticationStrategy to handle any session-related behaviour"。因此，请尝试为您的应用程序实现自定义 SessionControlStrategy 扩展框架提供的类，看看它是否满足您的需求。
框架提供的策略类为ConcurrentSessionControlStrategy、NullAuthenticatedSessionStrategy、SessionFixationProtectionStrategy

---

验证成功后控制cookie创建逻辑及其值：

1) 为您的应用程序选择记住我的服务
例如： TokenBasedRememberMeServices 或 PersistentTokenBasedRememberMeServices

2) 创建一个自定义类MyAppTokenBasedRemenberMeServices 扩展所选类，例如：TokenBasedRememberMeServices

3) 覆盖方法protected void setCookie(String[] tokens, int maxAge, HttpServletRequest request, HttpServletResponse response)。它负责创建 cookie 并将创建的 cookie 添加到响应中（这样您就可以控制任何 cookie 值，例如上下文路径值）。此方法驻留在类中：AbstractRememberMeServices

4) 为rememberMeServices 映射新创建的自定义类

我希望这会有所帮助！